醫管局病人資料外洩 數字辦助加強保安
【大公報訊】記者黃知行報道:醫管局九龍東醫院聯網病人資料外洩事件,早前有一名外判承辦商系統開發員被捕。醫管局策略發展總監夏敬恒在電台節目表示,醫管局明白及重視病人資料,外判合約有清楚規定,如承辦商人員要使用資料,需要先取得授權,但這次的外判人員沒有申請授權是不合法及不恰當。創新科技及工業局局長孫東出席一項活動後表示,數字政策辦公室已及時聯絡醫管局跟進,提供專業意見及技術支援,確保相關機構落實各項保安加強措施。
被問到醫管局系統有否漏洞,夏敬恒強調局方已即時在恆常監察系統做加強工作,同時檢視醫管局內部運作的臨床系統,未有發現異常情況,局方即時暫停所有承辦商接觸有關系統,如要緊急維護,則需要在監察下進行。對於外界關注病人資料有否加密,夏敬恒指出,警方仍在調查事件不方便交代細節。
議員促做好外判商監管
夏敬恒提到,醫管局正聯繫5萬多名病人,其中3萬多人有使用應用程式「HA GO」,已透過訊息交代,並以電話聯絡其餘萬多人,至今已接觸近萬人,並會以信件通知其他受影響病人。醫管局熱線電話至今收到數百人查詢,主要擔心會否影響覆診等。
民建聯立法會議員葛珮帆在同一節目表示,這次事件屬於嚴重的個人資料外洩,5萬多名病人的敏感資料放在暗網被人下載逾8000次,對市民的個人私隱及生活安全構成威脅。她認為醫管局除了追究責任外,當務之急是要盡快通知所有涉及的病人,尤其是長者。她質疑局方是否對外判商寬鬆及防盜意識不夠高,強調將工作外判出去,不等於將保護私隱的責任都外判,期望局方做好監管。
孫東出席一項活動後被問到有關事件,他強調執法機構正在調查,暫時不便披露更多信息;數字辦一直透過多管齊下方式,提高政府內部及公營機構資訊科技系統的治安及管制。
他指出,政府資訊科技保安政策及指引對員工的教育、培訓等方面有明確要求,包括需定期審查和審核系統使用者的權限;在聘用和管理外判商時,須制定相關保安管理程序,因應風險程度採取多重認證等,以全方位維護政府系統和數據安全。
孫東重申各決策局及部門有責任確保負責的政府及公共機構資訊系統,符合政府資訊科技保安政策及指引要求。
